Co szykuje Conficker na 1 kwietnia?

CERT.GOV.PL
Źródło: http://www.cert.gov.pl/cer/wiadomosci/zagrozenia-i-podatnosc/114,Co-szykuje-Conficker-na-1-kwietnia.html
Wygenerowano: Czwartek, 2 marca 2017, 08:46
Co szykuje Conficker na 1 kwietnia?
Coraz więcej informacji publikowanych jest na temat planowanego 1 kwietnia ataku najnowszej odmiany robaka Conficker,
znanego również jako Downadup czy Kido.
Jak już pisaliśmy w poprzednim artykule, robak może zainfekować system wykorzystując lukę w systemie Windows lub na
podłączeniu zainfekowanego nośnika danych do naszego komputera.
Już od paru miesięcy pojawiają się różne warianty robaka, najnowszym jest Win32/Conficker.D znany również jako
Downadup.C czy Kido. Robak ten jest znacznie lepiej skonstruowany niż poprzednie wersje.
Historia Confickera.
Pierwszy wariant robaka był zdecydowanie najprostszy. Rozprzestrzeniał się wykorzystując lukę w zabezpieczeniach
(MS08-67), która została usunięta przez Microsoft jeszcze w październiku 2008 r. Po zainfekowaniu komputera, robak
generował losowo adresy IP i wykorzystywał je do wyszukiwania kolejnych ofiar. Następnie generował codziennie listę 250
pseudolosowych nazw domen i próbował łączyć się z tymi serwerami, aby pobrać dalsze szkodliwe treści.
W styczniu 2009 r. pojawiła się druga odmiana robaka. Wersja ta działała podobnie do pierwszej. Robak dodatkowo
wykorzystywał kilka mechanizmów rozprzestrzeniania się. Oprócz wykorzystywania wspomnianej luki Microsoftu,
rozprzestrzeniał się zapisując się na wszystkich podłączonych do zainfekowanego systemu dyskach wymiennych i
współużytkowanych dyskach sieciowych. Próbował także wyłączać wiele znanych programów antywirusowych i blokować
dostęp do adresów zawierających następujące ciągi znaków np. arcabit, securecomputing, pctools, avast, eset, nod32,
kaspersky, f-secure, mcafee, microsoft, virus, cert, symantec, malware. Wyłączał również usługi zabezpieczające o
kluczowym znaczeniu, takie jak Windows Automatic Update czy usługę inteligentnego transferu w tle BITS.
W marcu 2009 r. pojawił się trzeci groźny wariant robaka Downad/Conficker. Wygląda na to, że nowa wersja rozprzestrzenia
się przez aktualizację złośliwego kodu komputerów zainfekowanych wcześniej drugim wariantem. Szkodnik zdecydowanie
dużo bardziej potrafi maskować swoją obecność w systemie operacyjnym. Specjaliści ds. bezpieczeństwa są w trakcie
analizowania kodu zmutowanego robaka i wykazują, że 1 kwietnia 2009r. kopie szkodnika zaczną po raz pierwszy
nawiązywać połączenie z serwerami kontrolnymi. Analizy wykazują, że robak cyklicznie sprawdza datę. Nie wykorzystuje
jednak do tego zegara systemowego - zamiast tego sprawdza dane na wielu popularnych stronach WWW jak na przykład :
ask.com, baidu.com, facebook.com, google.com, imageshack.us, rapidshare.com, w3.org, yahoo.com. Jeśli data wskaże 1
kwietnia ( lub po tej dacie) 2009 r. szkodnik wykorzysta datę do stworzenia listy nazw domen z którymi następnie spróbuje
się skontaktować w celu pobrania plików na skompromitowaną maszynę. Nie wiadomo co może przynieść wzmożony ruch
robaka. Wiadomo jednak, że wirus zacznie generować około 50 tysięcy adresów URL dziennie (wcześniejsze wersje robaka
generowały ok. 250 adresów). Wszystko po to, by nie można było się zorientować skąd szkodnik pobierze instrukcje dalszego
działania. Nowy wariant wprowadził także możliwość komunikacji równorzędnej (Peer to Peer) między zainfekowanymi
systemami.
Co może przynieść 1 kwietnia?
Specjaliści ds. bezpieczeństwa twierdzą, że cyberprzestępcy zamierzają przekształcić zainfekowane komputery w jeden
wielki botnet służący do skonstruowania niezwykle rozbudowanej sieci botnet, za pośrednictwem której możliwe będzie
zainicjowanie zmasowanego ataku na infrastrukturę samej sieci Internet.
Inni twierdzą że robak posłuży do powstania czegoś w rodzaju "Dark Google", czyli systemu umożliwiającego wyszukiwanie i
ściąganie danych przechowywanych na zarażonych komputerach (np. haseł i numerów kart kredytowych). Istnieje też duże
prawdopodobieństwo, że stworzona przez robaka sieć zombie będzie wykorzystywana do przeprowadzenia ataku DDoS,
używać będzie botnetu jako sieci proxy do ukrycia nielegalnej działalności czy też masowo rozsyłać spam.
Jak uchronić się przed atakiem?
●
●
●
●
●
administratorzy zasobów IT powinni sprawdzić komputery pod kątem ewentualnych luk w zabezpieczeniach
należy skorzystać z poprawki dla serwerów i stacji roboczych, udostępnionej w ramach odpowiedniego biuletynu MS08-067,
MS08-068 i MS09-001
należy usunąć zagrożenie z zainfekowanych komputerów (odłączając zainfekowany komputer z sieci i dopiero wtedy
przeskanowanie narzędziami do usuwania robaka)
należy wyłączyć opcję automatycznego uruchamiania urządzeń USB
zaleca się przeskanowanie programem antywirusowym wymiennych nośników danych przed ich użyciem
●
●
●
należy sprawdzić, czy wszystkie posiadane programy antywirusowe i systemy zabezpieczeń zostały zaktualizowane z
wykorzystaniem najnowszej bazy sygnatur
zaleca się używanie silnych haseł (proste hasła, jak „12345“ lub „admin“ nie gwarantują bezpieczeństwa zabezpieczonych
nimi danych, co bezlitośnie wykorzystuje Conficker.)
należy zachować ostrożność przy poszukiwaniu w sieci informacji o szkodniku - cyberprzestępcy zaczęli bowiem
manipulować wynikami wyszukiwania, starając się zwabić jak najwięcej internautów na zainfekowane strony.
Przykładowe narzędzia do wykrywania i usuwania złośliwego robaka:
●
●
●
●
●
●
●
●
Narzędzie firmy Microsoft - MSRT (Malicious Software Removal Tool )
Narzędzie F-Secure - f-downadup
Narzędzie Symantec - FixDownadup
Narzędzie firmy ESET - EConfickerRemover
Narzędzie firmy BDTOOLS - bdtool
Narzędzie firmy Kaspersky - KKiller
Narzędzie firmy McAfee - Stinger
Narzędzie TrendMicro - sysclean
Więcej informacji:
http://cert.gov.pl/
http://www.confickerworkinggroup.org/wiki/
http://technet.microsoft.com/en-us/security/dd452420.aspx
http://www.microsoft.com/protect/computer/viruses/worms/conficker.mspx
http://blogs.technet.com/mmpc/
http://www.symantec.com/security_response/writeup.jsp?docid=2009-030614-5852-99&tabid=2
http://www.symantec.com/the_downadup_codex_ed1.pdf
http://pl.mcafee.com/virusInfo/default.asp?id=description&virus_k=154253
http://www.scmagazineus.com/Is-Conficker-overhyped/article/129599/
Conficker, worm
RG
Ocena: 0/5 (0)